Skip to main content

Configuration de Sécurité

🔐 Authentification

JWT

  • Tokens signés avec algorithme HS256
  • Access token : 1 heure
  • Refresh token : 7 jours
  • Secret minimum : 32 caractères

Mots de Passe

  • Hashés avec bcrypt (coût: 12)
  • Minimum 8 caractères
  • Vérification de complexité recommandée

🛡️ Protection des Données

Chiffrement

  • HTTPS obligatoire en production
  • Données sensibles chiffrées au repos
  • Connexions base de données SSL

RGPD

  • Droit à l'oubli implémenté
  • Export des données utilisateur
  • Politique de confidentialité

🚫 Rate Limiting

EndpointLimite
Login5 tentatives / 15 min
API générale100 req / min
Upload10 req / min

🔒 En-têtes de Sécurité

// Configurés automatiquement
{
  "X-Content-Type-Options": "nosniff",
  "X-Frame-Options": "DENY",
  "X-XSS-Protection": "1; mode=block",
  "Strict-Transport-Security": "max-age=31536000"
}

✅ Checklist Sécurité

  • HTTPS activé
  • JWT_SECRET fort et unique
  • Rate limiting configuré
  • CORS configuré
  • En-têtes de sécurité actifs
  • Logs de sécurité activés